英国 NCSC ランサムウェア、恐喝、サイバー犯罪のエコシステムについての白書
こんにちは、丸山満彦です。
NCSCが、ランサムウェア等のサイバー犯罪エコシステムについての白書を公表していますね。。。
参考になります。。。
● U.K. National Cyber Security Centre; NCSC
・2023.09.11 Ransomware, extortion and the cyber crime ecosystem
・[PDF]
| Ransomware, extortion and the cyber crime ecosystem | ランサムウェア、恐喝、サイバー犯罪のエコシステム |
| A white paper from the NCSC and the National Crime Agency (NCA). | NCSCと国家犯罪対策庁(NCA)による白書。 |
| CONTENTS | 目次 |
| 1. Ministerial Foreword | 1. 大臣まえがき |
| 2. NCSC Foreword | 2. NCSCまえがき |
| 3. NCA Foreword | 3. NCAまえがき |
| 4. Introduction | 4. 序文 |
| 5. The evolution of ransomware | 5. ランサムウェアの進化 |
| 6. The cyber crime ecosystem | 6. サイバー犯罪のエコシステム |
| 7. Common initial access vectors | 7. 一般的な初期アクセスベクター |
| 8. Initial access brokers | 8. 初期アクセスブローカー |
| 9. Ransomware business models | 9. ランサムウェアのビジネスモデル |
| 10. Financial services | 10. 金融サービス |
| 11. Conclusion | 11. 結論 |
| 12. Prevent and protect against ransomware | 12. ランサムウェアの防止と保護 |
| Ministerial Foreword | 大臣まえがき |
| The UK is a high value target for cyber criminals. | 英国はサイバー犯罪者にとって価値の高い標的である。 |
| Our businesses and institutions are among the foremost in the world, meaning they have three things that hostile cyber actors crave – money, information and the potential to cause widespread disruption if things go wrong. | つまり、敵対的なサイバー犯罪者が切望する3つのもの、すなわち、金銭、情報、そして万が一の際に広範な混乱を引き起こす可能性を秘めているのだ。 |
| Attacks against our citizens are also evolving, both in terms of scale and harm. In the last year there were an estimated 745,000 computer misuse offences. Criminality like this helps facilitate economic crime, such as fraud, and interpersonal crimes, such as stalking and domestic abuse. | 市民に対する攻撃もまた、その規模と被害の両面において進化している。昨年は推定745,000件のコンピュータ不正使用犯罪があった。このような犯罪は、詐欺などの経済犯罪や、ストーカー行為や家庭内虐待などの対人犯罪を助長する。 |
| Thankfully, our cyber and law enforcement agencies are also amongst the best in the world. This report was written to give you an invaluable overview of the threats we all face. | ありがたいことに、わが国のサイバー犯罪および法執行機関もまた、世界最高水準にある。本レポートは、我々が直面している脅威の貴重な概要をお伝えするために執筆された。 |
| You will see that the threat picture has changed substantially since the publication of a previous report in 2017. It is easier than ever for those with malicious intent to cause huge disruption. The rollout of ransomware as a service means an advanced knowledge of computing is no longer needed to reap havoc; criminals are able to access software that will do much of the hard work for them. | 2017年に発行された前回の報告書から、脅威の状況が大きく変化していることがおわかりいただけるだろう。悪意のある者が甚大な混乱を引き起こすことは、かつてないほど容易になっている。サービスとしてのランサムウェアの展開は、もはや大混乱を引き起こすのに高度なコンピューティングの知識は必要ないことを意味する。 |
| This all means that it has never been more important to adopt good cyber hygiene. To get the most out of this paper, you should read it alongside the NCSC’s Cyber Essentials programme, a government backed certification scheme that helps organisations of all sizes guard against the most common cyber attacks. | このことは、優れたサイバー衛生を採用することがかつてないほど重要であることを意味する。この論文を最大限に活用するためには、NCSCのCyber Essentialsプログラムと合わせて読む必要がある。これは政府が支援する認証制度で、あらゆる規模の組織が最も一般的なサイバー攻撃から身を守るのを助けるものである。 |
| The onus, of course, is not just on you. I am ensuring our agencies collaborate with our international partners to target cyber criminals, put a stop to their practices and hold them accountable. | もちろん、責任はあなただけにあるわけではない。私は、サイバー犯罪者を標的にし、その行為に歯止めをかけ、責任を負わせるために、私たちの機関が国際的なパートナーと協力することを保証している。 |
| And they are making progress. | そして彼らは前進している。 |
| This year we enforced two comprehensive sanction packages against more than a dozen Russian-speaking cyber criminals who targeted institutions across the world, including the NHS during the height of the pandemic. | 今年我々は、パンデミックの最盛期にNHSを含む世界中の機構を標的にしたロシア語を話すサイバー犯罪者10数名に対し、2つの包括的な制裁パッケージを実施した。 |
| The National Crime Agency worked alongside the FBI and German law enforcement to shut down a ransomware service, known as HIVE, which over two years extorted more than $100 million in ransom payments. | 国家犯罪対策庁は、FBIやドイツの法執行機関と協力し、HIVEとして知られるランサムウェア・サービスを停止させた。HIVEは2年間にわたり、1億ドル以上の身代金支払いを強要していた。 |
| And we worked with 17 countries to take the Genesis Market (a go-to service which sold the personal data of millions of people to fraudsters) offline. | また、17カ国と協力してジェネシス・マーケット(数百万人の個人データを詐欺師に販売していた御用達サービス)をオフラインにした。 |
| I will continue to do everything in my power to protect our cyber infrastructure – but you too must play a role. I hope you find this report useful as you seek to better understand and protect yourself against the threat we face. | 私は、サイバー・インフラを守るために全力を尽くすつもりだ。私たちが直面している脅威をよりよく理解し、身を守るために、この報告書が役に立つことを願っている。 |
| The Rt Hon Tom Tugendhat, Minister of State (Minister for Security) | トム・トゥーゲントハット国務大臣(安全保障担当大臣) |
| NCSC Foreword | NCSCまえがき |
| When it comes to cyber security, a lot can change in six years. | サイバーセキュリティに関しては、6年間で多くのことが変わる可能性がある。 |
| In 2017, the National Cyber Security Centre (NCSC) published a detailed report examining the cyber crime business model. Since then, the growth in ransomware and extortion attacks has expanded dramatically, with cyber criminals adapting their business models to gain efficiencies and maximise profits. | 2017年、全米サイバーセキュリティセンター(NCSC)はサイバー犯罪のビジネスモデルを検証する詳細な報告書を発表した。それ以来、ランサムウェアや恐喝攻撃の増加は劇的に拡大し、サイバー犯罪者は効率性を得て利益を最大化するためにビジネスモデルを適応させている。 |
| This white paper, published by the NCSC and the National Crime Agency (NCA), examines how the tactics of organised criminal groups have evolved as ransomware and extortion attacks have grown in popularity. | NCSCと国家犯罪対策庁(NCA)が発表したこのホワイトペーパーでは、ランサムウェアや恐喝攻撃の人気が高まるにつれ、組織的犯罪グループの手口がどのように進化してきたかを検証している。 |
| Since IT systems are now ubiquitous, ransomware attacks can be truly devastating for victims and their customers, which is why it remains the most acute cyber threat for most UK businesses and organisations. Attacks can affect every aspect of an organisation’s operation, hitting finances, compromising customer data, disrupting operational delivery, eroding trust and damaging reputations. The impact will be felt in the short and long term, particularly when organisations are unprepared. Recovery is often lengthy and costly. | ITシステムは今やどこにでも存在するため、ランサムウェア攻撃は被害者とその顧客にとって真に壊滅的な打撃を与える可能性があり、それゆえほとんどの英国企業や組織にとって最も深刻なサイバー脅威であり続けている。攻撃は組織運営のあらゆる側面に影響を及ぼし、財務に打撃を与え、顧客データを漏洩させ、業務提供を中断させ、信頼を損ない、評判を低下させる。その影響は、特に組織が何の準備もしていない場合に、短期的にも長期的にも及ぶ。復旧には多くの場合、時間とコストがかかる。 |
| As we shall learn, there are a number of enabling services, platforms, distributors and affiliates that are key to conducting a ransomware attack, and it’s this wider cyber crime ‘ecosystem’ that is the focus of this paper, rather than the mechanics of ransomware itself. | これから学ぶように、ランサムウェア攻撃を行う上で鍵となるサービス、プラットフォーム、頒布事業者、関連会社は数多く存在し、本稿で取り上げるのは、ランサムウェア自体の仕組みではなく、このような広範なサイバー犯罪の「エコシステム」である。 |
| The good news is that the NCSC and the NCA are helping organisations of all sizes to take responsibility for their own cyber security and improve their resilience. The paper explains that implementing NCSC ransomware guidance will interrupt the majority of attacks, which is why we encourage system owners and technical staff to explore the NCSC’s ransomware pages. | 朗報は、NCSCとNCAが、あらゆる規模の組織が自らのサイバーセキュリティに責任を持ち、レジリエンスを改善できるよう支援していることだ。この論文では、NCSCのランサムウェア・ガイダンスを実施することで、大半の攻撃を阻止することができると説明しており、システム所有者や技術スタッフにNCSCのランサムウェア・ページを調べるよう勧めている。 |
| The deployment of ransomware attacks relies on a complex supply chain, so focussing on specific ransomware strains can be confusing at best, and unhelpful at worst. We hope that the publication of this white paper shines a light on the motivations of the threat actors further upstream, who are ultimately driving the monetisation of ransomware as a service, and other extortion attacks. | ランサムウェア攻撃の展開は複雑なサプライチェーンに依存しているため、特定のランサムウェアの系統に焦点を当てることは、良く言えば混乱し、悪く言えば役に立たない。我々は、このホワイトペーパーの発行が、最終的にサービスとしてのランサムウェアやその他の恐喝攻撃の収益化を推進している、さらに上流の脅威行為者の動機に光を当てることを願っている。 |
| Lindy Cameron, NCSC CEO | NCSC CEO リンディ・キャメロン |
| NCA Foreword | NCAまえがき |
| Ransomware continues to be the most significant, serious and organised cyber crime threat faced by the UK. | ランサムウェアは、英国が直面する最も重要で深刻な組織的サイバー犯罪の脅威であり続けている。 |
| The reach and scalability of ransomware techniques, combined with dynamic adaptation by criminals, means that these crimes continue to have a significant impact in the UK and elsewhere. Consequences include a significant impact upon victims, disruption of services to the public, and compromise of personal data (which can be exploited for further criminality such as fraud). | ランサムウェアの手口は、犯罪者によるダイナミックな適応と相まって、そのリーチと拡張性が高いため、これらの犯罪は英国内外で大きな影響を与え続けている。被害者への多大な影響、一般市民へのサービスの中断、個人データの漏洩(詐欺などのさらなる犯罪に悪用される可能性がある)などがその結果である。 |
| The ransomware threat tends to manifest most obviously around data and system functionality, but we should also pay attention to societal harms, such as the overall confidence in the integrity, reliability and safety of our networked economy. | ランサムウェアの脅威は、データやシステムの機能に最も顕著に現れる傾向があるが、ネットワーク経済の完全性、信頼性、安全性に対する全体的な信頼といった社会的な被害にも注意を払う必要がある。 |
| The ransomware threat has not stood still. To survive in a climate of heightened pressure from governments and law enforcement agencies, it has had to evolve and adapt. While individual groups have had to cease operation, as a whole the criminal industry is effective at amending its activities and business models dynamically to efficiently extract funds from victims. | ランサムウェアの脅威は止まってはいない。政府や法執行機関からの圧力が高まる中で生き残るためには、進化し適応しなければならない。個々のグループは活動を停止せざるを得なかったが、犯罪業界全体としては、被害者から効率的に資金を抽出するために、その活動やビジネスモデルをダイナミックに変更することに効果的である。 |
| Specialisation within the ecosystem, particularly ‘Ransomware as a Service’ and the proliferation of easily-used tools, online marketplaces and forums, has lowered barriers to entry. The NCA’s National Strategic Assessment 2023, notes that “Russian-language criminals operating ransomware as a service continue to be responsible for most high profile cyber crime attacks against the UK. Some of these high profile Russian-language groups are known to have links with the Russian state. However, it is highly likely that in most instances these links extend only to tolerance of their activities.” | エコシステム内の専門化、特に「サービスとしてのランサムウェア」や、簡単に使えるツール、オンラインマーケットプレイス、フォーラムの普及が、参入障壁を低くしている。NCAの国家戦略アセスメント2023は、「サービスとしてのランサムウェアを操作するロシア語犯罪者は、英国に対する注目度の高いサイバー犯罪攻撃のほとんどを引き続き担っている」と指摘している。これらの著名なロシア語グループの中には、ロシア国家とつながりがあることが知られているものもある。しかし、ほとんどの場合、こうしたつながりは彼らの活動の許容範囲にしか及んでいない可能性が高い」。 |
| ‘Whole of system’ response | システム全体」での対応 |
| Ransomware is fundamentally about criminal monetisation of cyber vulnerabilities. The most effective systemic response is preventing future attacks by investing in increased resilience and better protected systems. Companies and public sector bodies can justify these investments partly by observing the cost of ineffective cyber security. Complementing this key aspect of preventative work, the NCA also runs Cyber Choices campaigns to help people in the UK avoid being drawn into cyber crime. | ランサムウェアは基本的に、サイバー脆弱性を犯罪的に収益化するものである。最も効果的なシステム的対応は、レジリエンスを高め、より保護されたシステムに投資することで、将来の攻撃を防ぐことである。企業や公共団体は、効果のないサイバーセキュリティのコストを観察することで、こうした投資を部分的に正当化することができる。この重要な予防活動を補完するために、NCAは、英国の人々がサイバー犯罪に巻き込まれないようにするための「サイバー・チョイス」キャンペーンも実施している。 |
| The factors set out above mean an investigative response to an individual ransomware attack will rarely be productive in itself. Instead our disruption strategy, complementing efforts to build resilience, is based on understanding and undermining the increasingly sophisticated criminal ecosystem behind these threats especially focusing on common enablers and vulnerabilities. This is an integral part of the NCA’s broader shift of ‘focus upstream, overseas and online’, degrading the most harmful organised criminal groups (OGCs) by targeting those at the top of the chain, tackling the threat at source, and combating their use of technology. | 以上のことから、個々のランサムウェア攻撃に対する捜査対応自体が生産的であることはほとんどない。その代わりに、レジリエンスを構築する努力を補完する我々の破壊戦略は、これらの脅威の背後にあるますます洗練された犯罪エコシステムを理解し、弱体化させることに基づいており、特に共通のイネイブラーと脆弱性に焦点を当てている。これは、「上流、海外、オンラインに焦点を当てる」というNCAのより広範なシフトの不可欠な部分であり、連鎖の頂点にいる者たちを標的とし、脅威の根源に取り組み、テクノロジーの使用に対抗することによって、最も有害な組織的犯罪集団(OGC)を衰退させるものである。 |
| Traditional criminal justice outcomes are hard to achieve against actors based in uncooperative jurisdictions. This puts a premium on a wider range of disruptive approaches including international cooperation to pursue criminals as and when opportunity arises. Advances in cryptocurrency analysis and other techniques have enabled actions against a range of historic cybercrimes. And the UK announced its first cyber sanctions, in conjunction with US partners, against 7 Russian ransomware criminals associated with the Conti-Trickbot group in February 2023. | 従来の刑事司法では、非協力的な司法管轄区に拠点を置く行為者に対しては、成果を上げることが難しい。そのため、機会があれば犯罪者を追及する国際協力を含む、より幅広い破壊的アプローチが重要視されている。暗号通貨分析やその他の技術の進歩により、様々な歴史的サイバー犯罪に対する対策が可能になった。英国は米国のパートナーとともに、2023年2月にConti-Trickbotグループに関連するロシアのランサムウェア犯罪者7名に対する初のサイバー制裁を発表した。 |
| The online cyber criminal ecosystem set out in this paper enables the scale of threat and harms within the UK itself. The NCA’s National Cyber Crime Unit (NCCU) works with a wide range of partners in the UK and overseas to disrupt the key services that enable the cyber crime ecosystem; proactive, intelligence-led operational efforts, stressing the business model at multiple points with the overarching objective of achieving long-term strategic advantage. | 本稿で示したオンライン・サイバー犯罪のエコシステムは、英国内での脅威と被害の規模を可能にしている。NCAの国家サイバー犯罪ユニット(NCCU)は、サイバー犯罪のエコシステムを可能にする主要なサービスを破壊するために、英国内外の幅広いパートナーと協力している。プロアクティブでインテリジェンス主導の作戦努力は、長期的な戦略的優位性を達成するという包括的な目的をもって、複数のポイントでビジネスモデルに重点を置いている。 |
| The ransomware threat is borderless. An international response is needed to constrict the ecosystem that facilitates it. Our collective work with international partners includes private and public sector initiatives to make the UK’s online environment more safe and secure, and ultimately a harder target for ransomware actors. | ランサムウェアの脅威は国境を越えている。ランサムウェアの脅威を助長するエコシステムを制限するためには、国際的な対応が必要である。国際的なパートナーとの共同作業には、英国のオンライン環境をより安全でセキュアなものにし、最終的にはランサムウェアの攻撃者にとってより狙われにくいものにするための、民間および公共部門の取り組みが含まれる。 |
| James Babbage, NCA DG Threats | ジェームズ・バベッジ、NCA脅威総局 |
| Introduction | 序文 |
| Ransomware has been the biggest development in cyber crime since we published the NCSC’s 2017 report on online criminal activity. | ランサムウェアは、オンライン犯罪活動に関するNCSCの2017年報告書を発表して以来、サイバー犯罪における最大の進展となっている。 |
| Ransomware is a type of malware which prevents you from accessing your device and the data stored on it, usually by encrypting your files. A cyber criminal will then demand a ransom in exchange for decryption. The computer itself may become locked, or the data on it might be encrypted, stolen or deleted. The attackers may also threaten to leak the data they steal. | ランサムウェアはマルウェアの一種であり、通常ファイルを暗号化することで、デバイスやそこに保存されているデータにアクセスできなくする。サイバー犯罪者はその後、復号化と引き換えに身代金を要求する。コンピューター自体がロックされたり、コンピューター上のデータが暗号化されたり、盗まれたり、削除されたりすることもある。攻撃者は、盗んだデータを漏らすと脅すこともある。 |
| May 2021 saw a ransomware attack on the Health Service Executive of Ireland, causing issues such as lack of access to appointment data, in some cases leading to surgeons attempting to find patients for surgery when they had already been operated on. In the same month, the Colonial Pipeline in Texas was also held to ransom causing major disruption to gas supplies across the east coast of the US. In the UK, ransomware attacks affected the critical care services provided by local councils, and multiple organisations in the education sector were also affected. | 2021年5月、アイルランドの医療サービス行政機関がランサムウェア攻撃を受け、予約データにアクセスできないなどの問題が発生し、場合によっては外科医が手術済みの患者を探そうとする事態に発展した。同月には、テキサス州のコロニアル・パイプラインも身代金を要求され、米国東海岸全域のガス供給に大きな支障をきたした。英国では、ランサムウェア攻撃により、地方議会が提供するクリティカル・ケア・サービスが影響を受け、教育セクターの複数の組織も被害を受けた。 |
| As the ransomware threat has evolved, victims now have the worry of their sensitive data being exposed to the world, and with it face the risks of reputational damage. There will also be additional considerations of the impact of enforcement by a data protection authority (such as the Information Commissioner’s Office in the UK) for not sufficiently protecting customer data. | ランサムウェアの脅威が進化するにつれて、被害者は機密データが世界中にさらされる心配を抱えるようになり、風評被害のリスクにも直面するようになった。また、顧客データの保護が十分でなかったとして、データ保護当局(英国の情報コミッショナー事務局など)が取締りを行った場合の影響も考慮しなければならない。 |
| More recently, some groups conduct data theft and extortion only, without deploying ransomware. Accordingly, cyber criminals will now use whichever approach they believe most likely to yield payment, deploying ransomware attacks to disrupt logistics companies that need the data to function, but favouring extortion-only attacks against healthcare services (where patient privacy is paramount). | 最近では、ランサムウェアを展開せずに、データ窃盗と恐喝のみを行うグループもある。そのため、サイバー犯罪者は、支払いにつながる可能性が最も高いと思われる方法を用いるようになり、データを必要とする物流会社を混乱させるためにランサムウェア攻撃を展開する一方で、(患者のプライバシーが最も重要な)医療サービスに対しては恐喝のみの攻撃を好むようになっている。 |
| Some criminal groups purport to follow a ‘moral code’ and avoid attacks against critical national infrastructure (CNI) and healthcare services. However, the reality of complex modern supply chains means criminals cannot know if their attack will impact such services. | 犯罪グループの中には、「道徳的規範」に従い、重要な国家インフラ(CNI)や医療サービスに対する攻撃を避けると称するものもある。しかし、複雑な現代のサプライチェーンの現実は、犯罪者が自分たちの攻撃がそのようなサービスに影響を与えるかどうかを知ることができないことを意味する。 |
| The evolution of ransomware | ランサムウェアの進化 |
| While ransomware existed prior to 2017, it primarily focussed on encrypting single devices. In 2013, the GameOverZeus OCG had already put together the necessary success criteria for ransomware with CryptoLocker. It fused strong public key encryption with cryptocurrency payments, making it a viable business when other monetisation methods failed. | ランサムウェアは2017年以前にも存在したが、主に単一のデバイスを暗号化することに焦点を当てていた。2013年、GameOverZeus OCGはすでにCryptoLockerでランサムウェアに必要な成功基準をまとめていた。強力な公開鍵暗号化と暗号通貨による支払いを融合させ、他のマネタイズ手法が失敗した際にビジネスとして成立するようにしたのだ。 |
| Damaging a large organisation’s network (instead of a small organisation’s or single user’s) has become known as ‘big game hunting’. These targets often involve higher payment demands and so a larger return on investment. The removal of access to critical business systems and/or data is used to demand payment in exchange for the recovery keys. Under these pressures, it’s tempting for organisations to think that paying the ransom will ‘make the incident go away’, but as Eleanor Fairford, Deputy Director of Incident Management at the NCSC explained in a recent blog post, paying the ransom quickly doesn’t always help. | 小規模な組織や単一のユーザーではなく)大規模な組織のネットワークに損害を与えることは、「大物狩り」として知られるようになった。このような標的は、多くの場合、より高額な支払いを要求するため、投資に対するリターンが大きくなる。復旧キーと引き換えに支払いを要求するために、重要なビジネス・システムやデータへのアクセスを遮断することが使われる。このような圧力の下で、組織は身代金を支払えば「インシデントがなくなる」と考えたくなるが、NCSCのインシデント管理担当副部長エレノア・フェアフォードが最近のブログ記事で説明したように、身代金を迅速に支払っても必ずしも解決するとは限らない。 |
| Since 2018, businesses have been getting better at preparing for and responding to these attacks. At the same time, criminals have been refining their business model to maximise payouts. Combining data theft with extortion in big game hunting attacks increases the pressure on victims to pay, who will often be presented with short deadlines (a tactic often used in legitimate sales campaigns). | 2018年以降、企業はこのような攻撃に対する準備と対応がより良くなってきている。同時に、犯罪者は支払いを最大化するためにビジネスモデルを洗練させてきた。データ窃盗と恐喝を組み合わせた大物狩り攻撃は、被害者への支払い圧力を高め、被害者は短い期限を提示されることが多い(合法的な販売キャンペーンでよく使われる手口だ)。 |
| The WannaCry and NotPetya attacks combined encryption with the ability to self-propagate, leading to damages across a wide range of organisations. These attacks were both disruptive attacks posing as ransomware, in neither case was it possible to pay in exchange for decryption keys. However they highlighted the dramatic increase in impact when targeting critical infrastructure and large businesses. In 2018, the NCSC and the NCA observed this shift in criminal behaviour to conduct attacks against larger organisations, driven in part by the huge growth in the availability and legitimate trade of cryptocurrency. | WannaCryとNotPetyaの攻撃は、暗号化と自己増殖能力を組み合わせたもので、幅広い組織に被害をもたらした。これらの攻撃はいずれもランサムウェアを装った破壊的な攻撃であり、いずれの場合も復号鍵と引き換えに金銭を支払うことはできなかった。しかし、これらの攻撃は、重要なインフラや大企業を標的にした場合、その影響が劇的に増大することを浮き彫りにした。2018年、NCSCとNCAは、暗号通貨の可用性と合法的な取引が大幅に増加したこともあり、より大規模な組織に対して犯罪行為を行うようにシフトしていることを観察した。 |
| Cryptocurrency has made it easier, cheaper and faster to obtain payment and purchase criminal services than was previously possible with traditional currencies. The use of cryptocurrency also makes it harder to attribute individuals and control illicit payments, although this is in the process of changing to match traditional currencies. | 暗号通貨は、従来の通貨で可能であったよりも、簡単、安価、迅速に支払いを受け、犯罪サービスを購入することを可能にした。暗号通貨の使用はまた、個人を特定し、不正な支払いを管理することを難しくしているが、これは従来の通貨と一致するように変化している途中である。 |
| The cyber crime ecosystem | サイバー犯罪のエコシステム |
| Most of the serious cyber attacks have traditionally been carried out by OCGs such as EvilCorp, which comprise highly organised criminals operating much like legitimate businesses with offices, salaries, holiday and sick pay, and other benefits. There’s also a number of smaller, less-organised criminal groups and criminal microservices traded on illicit forums and marketplaces, all supporting each other. | 深刻なサイバー攻撃のほとんどは、従来、EvilCorpのようなOCGによって行われてきた。OCGは高度に組織化された犯罪者で構成され、オフィス、給与、休日手当、病気手当、その他の福利厚生など、合法的な企業とほぼ同様の運営を行っている。また、小規模で組織化されていない犯罪グループや、違法なフォーラムやマーケットプレイスで取引される犯罪マイクロサービスも数多く存在し、それぞれが互いに支援し合っている。 |
| While cyber crime exists in most countries around the world, the major threat to the UK emanates from the Russian-speaking community that have benefited from the larger OCGs helping shape the forums where these services are traded. Like other criminal services, ransomware has been adapting to this marketplace to become more accessible and scalable through groups selling ransomware as a service (RaaS). The resulting increase in criminals adopting ransomware and extortion tactics means that smaller criminal groups, working together, can make a large impact. | サイバー犯罪は世界中のほとんどの国に存在するが、英国にとっての大きな脅威は、これらのサービスが取引されるフォーラムを形成するのに役立っている大規模なOCGから利益を得ているロシア語を話すコミュニティから生じている。他の犯罪サービスと同様に、ランサムウェアもこの市場に適応し、サービスとしてのランサムウェア(RaaS)を販売するグループを通じて、よりアクセスしやすく、スケーラブルになっている。その結果、ランサムウェアや恐喝の手口を採用する犯罪者が増加し、小規模な犯罪グループが協力することで、大きな影響を与えることができるようになった。 |
| Sanctions, indictments and rewards levied on the likes of EvilCorp (and the group behind Conti) has seen them draw on the wider ecosystem to distance themselves from the larger OCG branding. Figure 1 is an estimate of the number of UK victims from the top 10 ransomware variants over the last 3 years. It shows that over time, some of the previously dominant groups (such as Conti and Egregor) have disappeared while more brands of ‘as a service’ data leak sites (such as ALPHV, Lockbit and Hive) have become available. The numbers here can only be taken as an indication of the true volume, as any victims that paid the ransom will not appear on the leak sites (and some ransomware variants do not adopt data leak tactics). | EvilCorp(およびContiの背後にいるグループ)などに課された制裁、起訴、報奨金は、彼らがより大きなOCGブランドから距離を置くために、より広範なエコシステムを利用することを見ている。図1は、過去3年間のランサムウェア上位10亜種による英国の被害者数の推定値である。時間の経過とともに、以前は支配的だったいくつかのグループ(ContiやEgregorなど)が姿を消す一方、「サービスとしての」データ漏えいサイト(ALPHV、Lockbit、Hiveなど)のブランドが増えていることがわかる。身代金を支払った被害者はリークサイトに表示されないため(また、ランサムウェアの亜種によってはデータリークの手口を採用しないものもある)、ここでの数字はあくまで真の量を示すものとしてのみ捉えることができる。 |
 |
|
| FIGURE 1. DATA LEAK VICTIMS BY LEAK SITE BRAND. SOURCE: SECUREWORKS | 図1. 漏えいサイトブランド別のデータ漏えい被害者 出典 SECUREWORKS |
| Despite the variety of criminal services available, there is a high level attack path for ransomware that can be broken into functions delivered by different malicious actors (Figure 2). The chronological flow of an attack is typically left to right, starting with an initial interaction with the victim on the left, and increasing in impact moving towards the right. In many cases, organisations are not aware that they have become a victim until the very end of this process. | 多様な犯罪サービスが利用可能であるにもかかわらず、ランサムウェアには、悪意のあるアクターによって提供される機能に分割できる高レベルの攻撃経路が存在する(図2)。攻撃の時系列的な流れは、一般的に左から右へと進み、左側の被害者との最初のやり取りから始まり、右側に向かって影響が大きくなっていく。 多くの場合、組織はこのプロセスの最後の最後まで、被害者になったことに気づかない。 |
 |
|
| FIGURE 2. SIMPLIFIED RANSOMWARE WORKFLOW | 図2. 単純化されたランサムウェアのワークフロー |
| It’s worth noting that: | 注目すべき点は以下の通り: |
| ・each function can be conducted by a different threat actor and sold to each other as a service | ・各機能は異なる脅威行為者によって実行され、互いにサービスとして販売される可能性がある。 |
| ・malicious actors can execute more than one function themselves as fits their working methods, skills and capabilities | ・悪意のある行為者は、自らの作業方法、スキル、能力に合わせて、複数の機能を自ら実行することができる。 |
| ・some of these functions are also optional, such as TDS (Traffic Distribution Systems), which is used in some malware delivery, but not others. | ・TDS(トラフィック・ディストリビューション・システム)のように、マルウェアの配信に使用される機能と使用されない機能がある。 |
| This attack path is supported by a wide range of services, including criminal forums for discussing and exchanging services, anonymisation tools and malicious ‘bulletproof’ hosting that claim to provide infrastructure services that are resilient to takedown from law enforcement. Each of these underpinning services are necessary for the ecosystem to function but are outside the scope of this document. | この攻撃経路は、サービスに関する議論や交換を行う犯罪者フォーラム、匿名化ツール、法執行機関の摘発にレジリエンスなインフラサービスを提供すると主張する悪意のある「防弾」ホスティングなど、幅広いサービスによって支えられている。これらの基盤サービスは、エコシステムが機能するために必要であるが、本文書の範囲外である。 |
| Common initial access vectors | 一般的な初期アクセスベクトル |
| The left hand side of the diagram primarily deals with gathering initial accesses to targets, the trade of which constitutes much of the cyber crime ecosystem. Gathering these accesses can be done by dedicated access brokers, through online marketplaces, or by affiliates themselves. This flexibility makes it challenging for threat intelligence companies and defenders to understand which parts of the attack were conducted by which actor group. Attribution of a ransomware (or other cyber crime) incident to a single responsible actor is often impossible because of this business model. | 図の左側は、主にターゲットへの初期アクセスを収集することを扱っており、その取引はサイバー犯罪のエコシステムの大部分を構成している。このようなアクセスの収集は、専用のアクセスブローカー、オンラインマーケットプレイス、または関連会社自身によって行われる。 このような柔軟性が、脅威インテリジェンス企業や防御側にとって、攻撃のどの部分がどの脅威行為者グループによって行われたかを理解することを困難にしている。ランサムウェア(またはその他のサイバー犯罪)のインシデントを単一の責任ある行為者に帰属させることは、このビジネスモデルのためにしばしば不可能である。 |
 |
|
| FIGURE 3. COMMON INITIAL ACCESS VECTORS | 図3. 一般的な初期アクセスベクター |
| It’s important to note that the majority of the initial accesses to victims are gained opportunistically and are not targeted against a particular organisation or business sector. Cyber criminals are primarily concerned with financial benefit and while occasionally a group will specifically target sectors they have had previous success with (such as Vice Society and the education sector), the majority do not. | 被害者への初期アクセスの大半は、日和見的に獲得され、特定の組織や事業部門を標的としていないことに注意することが重要である。サイバー犯罪者は主に金銭的な利益に関心があり、時折、過去に成功を収めた部門(Vice Societyや教育部門など)を特にターゲットにするグループもあるが、大半はそうではない。 |
| Headlines such as ‘company X targeted in a ransomware attack’ do not reflect the reality. Most criminals take the opportunities presented to them, either through buying accesses that they deem likely profitable, or by scanning for a vulnerability in a product likely used in enterprise networks. There is far less return on investment for criminals to specifically target a single organisation. This is particularly true as the conversion rate from victim to payment is quite low. The vast majority of ransomware incidents are a result of large scale access gathering that is filtered later to identify those most likely to be suitable for ransomware. | X社がランサムウェア攻撃の標的に」といった見出しは、現実を反映していない。ほとんどの犯罪者は、収益性が高いと思われるアクセスを購入するか、エンタープライズ・ネットワークで使用されている可能性の高い製品の脆弱性をスキャンすることで、提示された機会を利用する。犯罪者が特定の組織をターゲットにした場合、投資に対するリターンははるかに少ない。特に、被害者から支払いへの転換率は極めて低いため、この傾向は顕著だ。ランサムウェアのインシデントの大部分は、ランサムウェアに最も適している可能性の高いものを特定するために後でフィルタリングされる大規模なアクセス収集の結果である。 |
| Most ransomware incidents are not due to sophisticated attack techniques, but are usually the result of poor cyber hygiene. That’s not to say that victims did not take cyber security seriously; modern IT estates are exceptionally complex, particularly for organisations that have undergone acquisitions and mergers, and security controls can be difficult to implement effectively across complex environments. | ランサムウェアのインシデントのほとんどは、高度な攻撃テクニックによるものではなく、サイバー衛生の不備によるものだ。被害者がサイバーセキュリティに真剣に取り組んでいなかったというわけではない。現代のIT施設は非常に複雑であり、特に買収や合併を経た組織では、複雑な環境全体でセキュリティ管理を効果的に実施することは難しい。 |
| Poor cyber hygiene can include unpatched devices, poor password protection, or lack of multi-factor authentication (MFA). Remedying these are not silver bullets, but implementing such measures would interrupt the majority of ransomware attacks. MFA in particular is often not in place, which enables many ransomware attacks to be successful. | サイバー衛生の不備には、パッチが適用されていないデバイス、不十分なパスワード保護、多要素認証(MFA)の欠如などがある。これらを改善することは特効薬ではないが、このような対策を実施すれば、ランサムウェア攻撃の大半を阻止できるだろう。特にMFAは多くの場合導入されていないため、多くのランサムウェア攻撃が成功している。 |
| Direct exploitation | 直接悪用 |
| A common method for gathering initial accesses is to scan the internet for devices with known vulnerabilities. Some groups use commercial datasets for this such as Shodan, but many others conduct the scanning themselves, as it is not a difficult process to set up. Criminals look for devices that are likely to be in businesses (rather than home environments). Examples include Microsoft Exchange servers, platforms such as Citrix or VMware, VPN devices and firewall devices. | 初期アクセスを収集する一般的な方法は、既知の脆弱性を持つデバイスをインターネットでスキャンすることだ。Shodanのような商用データセットを利用するグループもあるが、スキャンを自分たちで行うグループも多い。犯罪者は、(家庭環境ではなく)ビジネス環境にありそうなデバイスを探す。例えば、Microsoft Exchangeサーバー、CitrixやVMwareなどのプラットフォーム、VPNデバイス、ファイアウォールデバイスなどである。 |
| Figure 4 covers global volumes of Microsoft Exchange servers that are vulnerable and where the patches have been available from Microsoft since 15th February 2023. The graph shows minimal change in overall availability of exploitable devices over the months after the patch became available. This trend indicates that despite patches being available, they are not being consistently applied, and there are still rich pickings for cyber criminals to use as an initial access. From June, the volume of unpatched devices is estimated to approximately 10% of the total available servers, which sounds good, but 10% accounts for around 700 unpatched devices predominantly in businesses which is still a large opportunity for criminals. | 図4は、2023年2月15日以降、脆弱性が存在し、マイクロソフトからパッチが提供されているMicrosoft Exchangeサーバーの世界的な台数を示している。このグラフは、パッチが利用可能になってから数カ月間、悪用可能なデバイスの全体的な可用性にほとんど変化がないことを示している。この傾向は、パッチが利用可能であるにもかかわらず、パッチが一貫して適用されていないことを示しており、サイバー犯罪者が最初のアクセスとして利用するための豊富な収穫がまだあることを示している。6月以降、パッチが適用されていないデバイスの数は、利用可能なサーバー全体の約10%に上ると推定される。 |
 |
|
| FIGURE 4. SHADOWSERVER TRACKING OF MICROSOFT EXCHANGE EXPOSURE (DASHBOARD · THE SHADOWSERVER FOUNDATION) | 図 4. シャドウサーバーによるマイクロソフトエクスチェンジのエクスポージャーの追跡(ダッシュボード - シャドウサーバー財団) |
| Criminal use of exploits often surges shortly after certain critical patches are released indicating they are being reverse engineered from the patches. In most cases, an exploit is widely available in the criminal forums in less than one week from the patch being released. | エクスプロイトの犯罪利用は、特定の重要なパッチがリリースされた直後に急増することが多いが、これは、エクスプロイトがパッチからリバースエンジニアリングされていることを示している。ほとんどの場合、パッチがリリースされてから1週間も経たないうちに、エクスプロイトは犯罪者フォーラムで広く利用されるようになる。 |
| A zero-day exploit is a recently discovered vulnerability, not yet known to vendors or antivirus companies, that criminals can exploit. Cyber criminals don’t need to develop their own zero-day exploits as doing so is expensive, and there are many devices ‘in the wild’ that are not patched regularly. However, some actors have been known to use zero-day exploits, most notably there are public reports of Cl0p’s use of the Accellion, GoAnywhere and MOVEit vulnerabilities. This would account for the large spike in Cl0p victims in Figure 1 in 2023. Actors conducting ransomware will buy exploit code from other criminals, or modify exploit code from GitHub. | ゼロデイ・エクスプロイトとは、最近発見された脆弱性のことで、ベンダーやウイルス対策企業にはまだ知られておらず、犯罪者が悪用できるものである。サイバー犯罪者は、ゼロデイ・エクスプロイトを独自に開発する必要がない。ゼロデイ・エクスプロイトを開発するにはコストがかかるし、定期的にパッチが適用されていない「野生の」デバイスが数多く存在するからだ。しかし、一部の行為者はゼロデイ脆弱性を利用することが知られており、特にCl0pがAccellion、GoAnywhere、MOVEitの脆弱性を利用したことが公に報告されている。これは、2023年に図1のCl0pの被害者が急増したことを説明するものである。ランサムウェアを行う行為者は、他の犯罪者からエクスプロイトコードを購入したり、GitHubからエクスプロイトコードを修正したりする。 |
| Note: The NCSC strongly recommends creating a vulnerability management plan that prioritises vulnerabilities that are accessible from the internet. The list of exploits being used changes rapidly based on the availability of vulnerable systems and the introduction of new exploits to the market, so it is not enough to just patch those known to be currently in use. | 注:NCSCは、インターネットからアクセス可能な脆弱性に優先順位をつけた脆弱性管理計画を策定することを強く推奨している。使用されている脆弱性のリストは、脆弱性のあるシステムの利用可能性や新しい脆弱性の市場への序文に基づいて急速に変化するため、現在使用されていることが判明している脆弱性にパッチを当てるだけでは不十分である。 |
| Brute force access | ブルートフォース・アクセス |
| As previously discussed, poor password practice is another common access vector for enabling ransomware. In the same way actors can scan for known vulnerable devices, it is equally straightforward to scan for a device type and test common passwords in brute force attacks. In some cases, default passwords (that are widely known and shared) have not been changed. Tools like Crowbar, Hydra and NLBrute, specifically designed for conducting brute force attacks, make it easy for malicious actors (who can also use the same approach with certain network perimeter devices and common services such as RDP or SSH) to gain access. | 先に述べたように、パスワードの使い方が悪いことも、ランサムウェアを有効にするための一般的なアクセス・ベクトルである。アクターが既知の脆弱性デバイスをスキャンできるのと同じように、デバイスのタイプをスキャンし、ブルートフォース攻撃で一般的なパスワードをテストするのも同様に簡単だ。場合によっては、(広く知られ共有されている)デフォルトのパスワードが変更されていないこともある。Crowbar、Hydra、NLBruteのようなツールは、ブルートフォース攻撃を行うために特別に設計されており、悪意のある行為者(特定のネットワーク境界デバイスやRDPやSSHのような一般的なサービスでも同じアプローチを使うことができる)が簡単にアクセスできるようにする。 |
| Malicious actors will also use passwords from previous database breaches to gain access to current systems, since password re-use is relatively common. There is a premium charged for fresh accesses from recent database breaches, since most breach databases are often older (and therefore less likely to work in ransomware attacks). | パスワードの再利用は比較的一般的であるため、悪意のある行為者はまた、現在のシステムにアクセスするために、以前のデータベース侵害のパスワードを使用する。ほとんどの侵害データベースは古いことが多いため(したがって、ランサムウェア攻撃で機能する可能性は低い)、最近のデータベース侵害からの新鮮なアクセスには割高感がある。 |
| Stealers and loaders | ステーラーとローダー |
| ‘Stealers’ are a type of malware available on criminal forums that are used to harvest a variety of useful information (including credentials) which other criminals can use in fraud and/or ransomware attacks. In some cases, versions of the stealers have been leaked onto GitHub making them widely available for anyone to use. Prices range from hundreds to thousands of US dollars per month. | ステーラー」は、犯罪フォーラムで入手可能なマルウェアの一種で、他の犯罪者が詐欺やランサムウェア攻撃に使用できる様々な有用情報(認証情報を含む)を採取するために使用される。場合によっては、ステラーのバージョンがGitHubに流出し、誰でも広く利用できるようになっている。料金は月額数百ドルから数千ドルである。 |
 |
|
| FIGURE 5. SCREENSHOT OF RACCOON STEALER ADVERTISEMENT TRANSLATED INTO ENGLISH | 図5. 英語に翻訳されたraccoon stealerの広告のスクリーンショット |
| Common features of stealers are: | ステイラーの一般的な機能は以下の通り: |
| ・stealing passwords stored in web browsers | ・ウェブブラウザに保存されているパスワードを盗む。 |
| ・stealing cookies, browser version and other configuration details | ・クッキー、ブラウザのバージョン、その他の設定情報を盗む。 |
| ・stealing form entry data from web browsers | ・ウェブブラウザからフォーム入力データを盗む |
| ・stealing stored credit card details | ・保存されているクレジットカード情報を盗む |
| ・taking screenshots | ・スクリーンショットを撮る |
| ・capturing antivirus details | ・アンチウイルスの詳細をキャプチャする |
| ・logging keyboard presses from users | ・ユーザーのキーボード操作を記録する |
| This malware can evade detection by antivirus software due to the availability of criminal services that specialise in ‘crypting’ or modifying malware to ensure it’s not detected. | このマルウェアは、検知されないようにマルウェアを「暗号化」または修正することに特化した犯罪サービスを利用できるため、ウイルス対策ソフトウェアによる検知を回避することができる。 |
| Note: Although the credential stealing malware described above is used to access passwords stored in web browsers, the NCSC’s advice for general members of the public remains to store credentials in web browsers. This prevents the majority of users from using easily-guessed passwords (or re-using the same passwords across multiple accounts), both of which put people at risk following large scale data leaks when online services are compromised. | 注:上記の認証情報窃取マルウェアは、ウェブブラウザに保存されたパスワードにアクセスするために使用されるが、NCSCの一般ユーザーに対するアドバイスは、認証情報をウェブブラウザに保存することに変わりはない。これにより、大多数のユーザーが推測されやすいパスワードを使用する(または複数のアカウントで同じパスワードを再使用する)ことを防ぐことができる。 |
| ‘Loaders' are another type of malware used to gather basic system information which is then used to deploy other malware. Loaders can be used to determine if a system is viable for ransomware before deploying more capable malware (and spending the time necessary to take over the whole network). | ローダー」は、基本的なシステム情報を収集するために使用される別のタイプのマルウェアであり、その後、他のマルウェアを展開するために使用される。ローダーは、より高性能なマルウェアを展開する前に(そしてネットワーク全体を乗っ取るために必要な時間を費やす前に)、システムがランサムウェアにとって実行可能かどうかを判断するために使用されることがある。 |
| We’ll often see a blurring of functionality, with some loaders gaining stealer functionality, and some stealers operating as loaders. Loaders were more common at the start of the growth in ransomware, with loaders such as Emotet and Trickbot leading to large volumes of victims that actors could choose from. More recently they are less common, with stolen credentials and vulnerable devices being a more readily available access. | あるローダーはステアラーの機能を獲得し、あるステイラーはローダーとして動作するなど、機能の曖昧さがしばしば見られる。EmotetやTrickbotのようなローダーは、行為者が選択できる大量の被害者をもたらした。最近では、盗まれた認証情報や脆弱性デバイスがより容易にアクセスできるようになったため、ローダーはあまり見かけなくなった。 |
| According to reporting in PWCs Strategic Intelligence Bulletin*, the most popular stealers on the market are RedLine Stealer, Raccoon Stealer and Vidar. Many criminals use these tools to steal credentials. Cyber crime marketplaces make it very easy for criminals to sell these stolen credentials in bulk. These marketplaces are similar to automated vending carts (AVCs) discussed in the previous NCSC cyber crime report, and allow criminals to buy credentials, typically under $100 for most services. | PWC Strategic Intelligence Bulletin*の報告によると、市場で最も人気のある窃取ツールは、RedLine Stealer、Raccoon Stealer、Vidarである。多くの犯罪者がこれらのツールを使って認証情報を盗んでいる。サイバー犯罪のマーケットプレイスは、犯罪者がこれらの盗んだクレデンシャルを大量に販売することを非常に容易にしている。これらのマーケットプレイスは、前回のNCSCサイバー犯罪報告書で取り上げた自動販売カート(AVC)に似ており、犯罪者がクレデンシャルを購入することを可能にする。 |
| Genesis is one such marketplace that was subject to a law enforcement disruption and prior to the disruption was among the top 3 reported credential marketplaces. Genesis also provided browser cookies and fingerprints so actors can mimic the original device and bypass authentication checks. These stolen credentials are preferred to large breach databases, as they are more recent and used by fewer criminals, and so more likely to work. Stealers are increasingly used outside the corporate environment due to the increase in home working and bring your own device (BYOD) initiatives. The availability of credentials for sale has been increasing as illustrated in the diagram below: | Genesisは、法執行機関の妨害の対象となったそのようなマーケットプレイスの1つであり、妨害以前は、報告されたクレデンシャル・マーケットプレイスのトップ3に入っていた。Genesisはまた、ブラウザ・クッキーとフィンガープリントをプロバイダとして提供していたため、行為者はオリジナルのデバイスを模倣し、本人認証チェックを迂回することができる。これらの盗まれたクレデンシャルは、より新しく、より少ない犯罪者によって使用されるため、より機能する可能性が高いため、大規模な侵害データベースよりも好まれる。在宅勤務やBYOD(自分のデバイスを持ち込み)イニシアチブの増加により、窃取者はますます企業環境外で使用されるようになっている。下の図に示すように、クレデンシャルの販売可能性は増加している: |
 |
|
| FIGURE 6. APPROXIMATE CREDENTIAL AVAILABILITY ON RUSSIAN MARKET CRIMINAL FORUM 2022 VS 2023. SOURCE: SECUREWORKS | 図 6. ロシア市場の犯罪者フォーラムにおけるクレデンシャル入手可能性の概算 2022 年対 2023 年。出典 SECUREWORKS |
| The deployment of MFA on remotely accessible business accounts makes using stolen credentials much harder for criminals, but there are - at a cost - services that use social engineering techniques to bypass these mitigations. | リモート・アクセス可能なビジネス・アカウントに MFA が導入されたことで、犯罪者は盗まれたクレデンシャルを使用することが非常に難しくなったが、ソーシャル・エンジニアリングのテクニックを使用してこれらの低減をバイパスするサービスも(コストはかかるが)存在する。 |
| Distribution | 配布 |
| Loaders and stealers require distribution to gain large victim volumes. Phishing services on criminal forums supply this distribution by sending a large number of emails with malicious attachments, or links to trick users into visiting malicious websites. Other popular distribution techniques include: | ローダーやステイラーは、大量の被害者を得るためにディストリビューションを必要とする。犯罪フォーラムにおけるフィッシング・サービスは、悪意のある添付ファイル付きの電子メールを大量に送信したり、ユーザーを騙して悪意のあるウェブサイトにアクセスさせるリンクを送信したりすることで、この配布を行う。その他の一般的な配布手法には、以下のようなものがある: |
| ・malvertising (when an attacker uses advertising as a delivery method for malicious activity) | ・マルバタイジング(攻撃者が広告を悪意のある活動の配信手段として利用すること) |
| ・SEO (search engine optimisation) poisoning to return malicious links to common search terms | ・SEO(検索エンジン最適化)ポイズニングにより、一般的な検索キーワードに悪意のあるリンクを貼り付ける。 |
| ・embedding malware in cracked software | ・クラックされたソフトウェアにマルウェアを埋め込む |
| Traffic Distribution Systems (TDS) also play an important role in malware delivery. A TDS is similar to legitimate advertising services; they receive visits from users who have clicked links in malicious emails, and capture basic system information such as geographical location, browser or operating system version. The main benefit of a TDS is that it allows cyber criminals to define redirection rules from an administration panel based on the type of visitors browsing the system’s web of malicious landing pages. This means that different categories of visitors can be redirected to different campaigns, depending on the target audience. | トラフィック配信システム(TDS)も、マルウェアの配信において重要な役割を果たしている。TDSは合法的な広告サービスと似ており、悪意のある電子メールのリンクをクリックしたユーザーの訪問を受け、地理的な位置、ブラウザやオペレーティングシステムのバージョンなどの基本的なシステム情報を取得する。TDSの主な利点は、悪意のあるランディングページを閲覧する訪問者のタイプに基づいて、サイバー犯罪者が管理パネルからリダイレクトルールを定義できることである。つまり、ターゲットに応じて異なるカテゴリーの訪問者を異なるキャンペーンにリダイレクトすることができる。 |
| TDSs were very popular with exploit kits to ensure the correct exploits were used against the right browser to minimise the risk of detection. More recently they are proving very popular in phishing distribution, blocking known security research IPs from receiving the malicious payload for analysis. | 検知のリスクを最小化するために、適切なブラウザに対して適切なエクスプロイトが使用されるようにするため、TDSはエクスプロイトキットで非常に人気があった。さらに最近では、フィッシング詐欺の配信に利用され、既知のセキュリティ・リサーチ用IPが悪意のあるペイロードを受信するのをブロックし、分析に利用されている。 |
| * CTO-SIB-20230224-01A - Strategic Intelligence Bulletin: We can steal it for you wholesale”, Price Waterhouse Coopers, 2023 | * CTO-SIB-20230224-01A - ストラテジック・インテリジェンス・ブレティン: プライスウォーターハウスクーパース、2023年。 |
| Initial access brokers | 初期アクセスブローカー |
 |
|
| FIGURE 7. INITIAL ACCESS BROKERS | 図 7. イニシャル・アクセス・ブローカー |
| An alternative to selling credentials to marketplaces is to sell to Initial Access Brokers (IABs). IABs are actors that take in large volumes of access garnered across these access methods, and filter for the highest value victims to resell at a higher cost. They will often buy stolen credentials in bulk, or conduct their own scanning for vulnerable systems. | マーケットプレイスへのクレデンシャル販売に代わるものとして、イニシャル・アクセス・ブローカー(IAB)への販売がある。IAB は、これらのアクセス方法を通じて収集された大量のアクセスを取り込み、より高いコストで再販するために最も価値の高い被害者をフィルタリングするアクターである。IABは多くの場合、盗んだクレデンシャルを一括で購入したり、脆弱性のあるシステムを独自にスキャンしたりする。 |
| An IAB's primary function is to filter these for likely businesses, test the access works (occasionally setting up backup access methods) and triaging the business for onward sale. Some work to requirements from ransomware actors, others do not have specific customers in mind and just re-advertise the confirmed high value access for anyone to buy. | IABの主な機能は、可能性のあるビジネスに対してこれらをフィルタリングし、アクセスが機能するかテストし(時にはバックアップアクセス方法を設定する)、その後販売するためにビジネスをトリアージすることである。ランサムウェアの実行者から要求される要件を満たすために働くものもあれば、特定の顧客を念頭に置かず、確認された高価値のアクセスを誰でも買えるように再広告するだけのものもある。 |
| Once accesses have been validated, IABs will often confirm the access is to a corporate network, identify the approximate size of the network in terms of number of machines/users, as well as attempt to identify who the victim is from the network domain information. This is used to work out the value of the company from records such as Companies House and commercial datasets like ZoomInfo. IABs resell accesses for thousands of US Dollars depending on the value of the victim. | アクセスが確認されると、IABは多くの場合、企業ネットワークへのアクセスであることを確認し、マシンやユーザーの数からネットワークのおおよその規模を特定し、ネットワークドメイン情報から被害者が誰であるかを特定しようとする。この情報は、Companies Houseなどの記録やZoomInfoのような商用データセットから企業の価値を算出するために使用される。IABは、被害者の価値に応じて、アクセスを数千米ドルで転売する。 |
 |
|
| FIGURE 8. COPY OF AN IAB ADVERTISEMENT OF AN ACCESS FOR SALE. SOURCE: MANDIANT | 図8. アクセスを販売するIABの広告のコピー。出典 MANDIANT |
| Ransomware business models | ランサムウェアのビジネスモデル |
 |
|
| FIGURE 9. RANSOMWARE BUSINESS MODELS | 図 9. ランサムウェアのビジネスモデル |
| As with any business types, there are many business models to obtain ransomware. Each have their own quirks, and will often reflect the preferences of the actors running the business, and how they like to work. | どのようなビジネスタイプにも言えることだが、ランサムウェアを入手するためのビジネスモデルは数多く存在する。それぞれに癖があり、ビジネスを実行する行為者の好みや、彼らがどのように仕事をしたいかが反映されていることが多い。 |
| Buy-a-build | 出来上がり物の購入 |
| Possibly the simplest business model available to ransomware actors is to obtain existing ransomware code. This is typically low cost, as writing ransomware is not technically challenging from a coding perspective. The sale of the Dharma ransomware source code was listed for as little as 2,000 US Dollars and many others have had their ransomware source code leaked to criminal forums, or even the public. Recent examples include LockBit 3.0 and Conti, both of which can now be used by any actor. | ランサムウェアの実行者が利用できる最も単純なビジネスモデルは、既存のランサムウェアのコードを入手することだろう。ランサムウェアを書くことはコーディングの観点から技術的に難しくないため、これは一般的に低コストである。Dharmaランサムウェアのソースコードの販売は、わずか2,000米ドルでリストアップされており、他の多くのランサムウェアのソースコードが犯罪フォーラム、あるいは一般に流出している。最近の例としては、LockBit 3.0やContiがあり、これらは現在、どのような行為者でも使用することができる。 |
| The buy-a-build model tends to appeal most to the smaller groups with lower skill levels who are less likely to pull in large ransoms from big businesses. They also often lack the connections to operate in the other business models that are more profitable. | バイ・ア・ビルド・モデルは、大企業から多額の身代金を引き出す可能性が低い、スキルレベルの低い小規模なグループに最もアピールする傾向がある。また、より収益性の高い他のビジネスモデルで活動するためのコネクションもないことが多い。 |
| Perhaps counter-intuitively, the leaking of ransomware source code is not particularly helpful for security professionals. While criminals and independent researchers leaking code in this fashion undermines the original criminals who wrote it, the impact is rarely sustained as it is easy to start again and rebrand. Furthermore, it diversifies the ransomware available as they are used by multiple actors or built into new “frankenstein ransomware” variants, making attribution of attacks to actors even harder for law enforcement. | 直感に反するかもしれないが、ランサムウェアのソースコードの流出は、セキュリティの専門家にとって特に有益ではない。犯罪者や独立した研究者がこのような方法でコードを流出させることは、それを書いた元の犯罪者を弱体化させるが、再出発やブランドの変更は容易であるため、影響が持続することはほとんどない。さらに、複数の行為者によって使用されたり、新たな「フランケンシュタイン・ランサムウェア」亜種に組み込まれたりするため、利用可能なランサムウェアが多様化し、法執行機関にとって行為者への攻撃の帰属をさらに困難にする。 |
| In-house | インハウス |
| The traditional ransomware business model is a full ‘in-house’ solution, where the same threat group responsible for developing the ransomware conduct much of the attack. That is not to say they do not require the marketplace, in fact many still use it for parts of the attack chain, including for cryptocurrency services. | 従来のランサムウェアのビジネスモデルは、完全な「インハウス」ソリューションであり、ランサムウェアの開発に責任を持つ同じ脅威グループが攻撃の大部分を行う。しかし、彼らがマーケットプレイスを必要としないというわけではなく、実際、暗号通貨サービスを含め、攻撃チェーンの一部にマーケットプレイスを利用しているケースも多い。 |
| The group behind Conti ransomware predominantly followed this model. While they recruited operators (affiliates), the payment model was very different to ransomware as a service. Since the group provided most of the accesses, the tooling and operating procedures (as well as the ransomware itself), the group held onto the majority of the profits. Most of the operators are understood to have been salaried and took a commission from the ransomware payments with the rest going to the core group. This is largely reflective of car sales models in legitimate businesses, where the salesperson receives a base salary (and annual leave, and suchlike) but is encouraged to make more sales through the use of commission. | Contiランサムウェアの背後にいるグループは、主にこのモデルに従っていた。彼らはオペレーター(アフィリエイト)を募集していたが、支払いモデルはサービスとしてのランサムウェアとは大きく異なっていた。同グループはアクセス、ツール、操作手順(ランサムウェア自体も)のほとんどをプロバイダとして提供したため、利益の大半は同グループが握っていた。オペレーターのほとんどはサラリーマンで、ランサムウェアの支払いから手数料を取り、残りはコア・グループに支払われたと見られている。これは、合法的なビジネスにおける自動車販売モデルを反映したもので、販売員は基本給(および年次休暇など)を受け取るが、コミッションを利用することでより多くの販売を行うよう奨励される。 |
| While this model is less common, some groups still primarily operate as an in-house business model. Ransomware such as Cuba and Vice Society are not available for sale in the criminal marketplaces. In the case of Cuba ransomware, access was primarily via the Hancitor Loader. Vice Society typically do not use loaders, and are routinely observed conducting attacks against the education sector. Use of a common access vector or targeting profile suggests it is a single group conducting these operations from the point of access to the deployment of ransomware. Access vectors and other behaviours are much more diverse in ‘ransomware as a service’ models. | このモデルはあまり一般的ではなくなってきているが、一部のグループは今でも主に社内ビジネスモデルとして活動している。CubaやVice Societyのようなランサムウェアは、犯罪マーケットプレイスでは販売されていない。Cubaランサムウェアの場合、アクセスは主にHancitor Loaderを介して行われた。Vice Societyは通常、ローダーを使用せず、教育セクターに対する攻撃を行うことが日常的に観察されている。共通のアクセスベクターや標的プロファイルを使用することから、アクセスからランサムウェアの展開まで、これらの作戦を実施しているのは単一のグループであることが示唆される。サービスとしてのランサムウェア」モデルでは、アクセスベクターやその他の行動ははるかに多様である。 |
| Ransomware as a Service | ランサムウェア・アズ・ア・サービス |
| The ransomware business model seen most frequently is ‘ransomware as a service’ (RaaS). In this model, ransomware groups typically provide a web portal to enable affiliates/customers to customise their ransomware and obtain new builds with unique encryption keys per customer. Many include a communications platform to make the ransom negotiation easier and more anonymous for the affiliate. Most ransomware will also include features to delete local backups to hinder recovery. Other features of the service include access to data leak sites, where affiliates can publish stolen data as an added incentive for victims to pay. | 最も頻繁に見られるランサムウェアのビジネスモデルは、「ランサムウェア・アズ・ア・サービス」(RaaS)である。このモデルでは、ランサムウェアグループは通常、アフィリエイトや顧客がランサムウェアをカスタマイズし、顧客ごとに固有の暗号化キーを持つ新しいビルドを入手できるようにするためのウェブポータルを提供する。多くの場合、アフィリエートにとって身代金交渉がより簡単で匿名性の高いものになるよう、コミュニケーション・プラットフォームが含まれている。ほとんどのランサムウェアには、復旧を妨げるためにローカルのバックアップを削除する機能も含まれている。このサービスの他の特徴としては、データ流出サイトへのアクセスがあり、アフィリエイトは被害者が支払いをするための追加的なインセンティブとして、盗まれたデータを公開することができる。 |
| RaaS groups are often aware of western laws and regulations and use that knowledge to shape their criminal activity. Data leak sites became popular in the hope of pressuring victims that could face large fines under laws such as UK GDPR and the Data Protection Act 2018. While the threat of leaking sensitive data (whether intellectual property or personal data) often carries real weight with victims, the victim can be liable for not protecting the data, regardless of whether it becomes public on the leak site. | RaaSグループは多くの場合、欧米の法律や規制を把握しており、その知識を利用して犯罪活動を形成している。データ漏えいサイトは、英国のGDPRやデータ保護法2018などの法律の下で多額の罰金に直面する可能性のある被害者に圧力をかけることを期待して人気が出た。機密データ(知的財産であれ個人データであれ)の流出の脅威は、しばしば被害者に現実的な重みをもたらすが、流出サイトで公開されるかどうかにかかわらず、被害者はデータを保護しなかった責任を負う可能性がある。 |
| A recent example of this can be found in the reported negotiations between Lockbit and the Royal Mail, where the malicious actor attempts to use this leverage, failing to grasp that the very public nature of the attack (and that LockBit publicly claimed the attack) means that paying to prevent the data release does not necessarily prevent the victim being fined for the breach. They could have paid an exorbitant cost to the criminals, and still be subject to GDPR regulations and potentially be fined. The relationship between RaaS group and affiliate can further be observed in the reporting around this incident, as LockBit initially denied responsibility until the group identified which affiliate conducted the attack. | 最近の例では、Lockbit社とRoyal Mail社との交渉が報じられているが、悪意ある行為者はこのような梃子(てこ)を使おうとし、攻撃の公共性(LockBit社が攻撃を公に主張したこと)が非常に高いということは、データ流出を防ぐために金銭を支払ったとしても、被害者が侵害に対して罰金を科されることを必ずしも防げないということを理解していない。犯罪者に法外な費用を支払っても、GDPR規制の対象となり、罰金を科される可能性があるのだ。RaaSグループと関連会社の関係は、このインシデントに関する報道でも確認できる。ロックビットは当初、どの関連会社が攻撃を行ったかを特定するまで責任を否定していたからだ。 |
| There are many subtle differences between the RaaS groups as each attempts to refine their business models for maximum profit. Some will deploy ransomware attacks on businesses dependent on IT systems (such as manufacturing and logistics) but conduct data leak-only attacks (with no encryption) against sectors where the data privacy is more important, such as law firms or healthcare services. | RaaSグループには多くの微妙な違いがあり、それぞれが最大の利益を得るためにビジネスモデルを洗練させようとしている。ITシステムに依存する事業者(製造や物流など)に対してランサムウェア攻撃を展開する者もいれば、法律事務所や医療サービスなどデータ・プライバシーがより重要な分野に対しては、データ漏洩のみの攻撃(暗号化なし)を行う者もいる。 |
| The most important thing to note about RaaS is that typically it’s the affiliate that obtains and uses the access, not the RaaS group. This is an important distinction in the eyes of the law and is actually two different offences under the Computer Misuse Act (CMA) (1990). Writing and selling ransomware falls under Section 3A of the CMA, while the affiliate conducting the attack is subject to Section 3 or 3ZA (depending on the impact). | RaaSに関して最も重要なことは、通常、アクセスを取得し使用するのはRaaSグループではなく、アフィリエイトであるということだ。これは法律上重要な違いであり、コンピュータ不正利用法(CMA)(1990年)の下では、実際には2つの異なる犯罪となる。ランサムウェアの作成と販売はCMA第3条Aに該当し、攻撃を行う関連会社は第3条または第3ZA条(影響によって異なる)の対象となる。 |
| One example of this is the attack on Royal Mail, which was publicly attributed to LockBit. However, LockBit are simply the RaaS group who are said to have provided the ransomware, it would have been a LockBit affiliate that obtained and exploited the access. While many RaaS groups have ‘terms of service’ that prevent affiliates ransoming certain targets (such as healthcare and critical national infrastructure) the enforcement of it is varied between groups. In some cases they ‘vet’ the victim before supplying the ransomware. In others it is retrospectively applied, and may mean they won’t supply to the affiliate for use in future attacks. In either scenario, the control the RaaS group exerts over the affiliate is often after the point of compromise. | その一例が、公にロックビットの仕業とされたロイヤルメールへの攻撃である。しかし、LockBitは単にランサムウェアをプロバイダとして提供したとされるRaaSグループであり、アクセスを取得し悪用したのはLockBitの関連会社であった。多くのRaaSグループは、関連会社が特定のターゲット(ヘルスケアや重要な国家インフラなど)の身代金を要求することを防ぐ「利用規約」を定めているが、その実施方法はグループによって異なる。ランサムウェアを提供する前に被害者を「審査」するケースもある。また、過去にさかのぼって適用される場合もあり、将来の攻撃で使用するために関連会社に提供しないことを意味する場合もある。いずれのシナリオにせよ、RaaSグループがアフィリエイトに対して行使するコントロールは、侵害が発生した時点より後に行われることが多い。 |
| The enforcement of the terms of service reflect a risk-driven approach to the attention RaaS groups invite from UK and international law enforcement. Law enforcement activity can reduce the popularity of a criminal service, with affiliates switching to other brands. This was seen with the DarkSide ransomware that the FBI has said was used in the attack on the US Colonial Pipeline, resulting in widespread disruption to the US east coast. The Darkside ransomware collapsed as a brand after law enforcement seized the cryptocurrency of the affiliate that conducted the attack. | 利用規約の施行は、RaaSグループが英国や国際的な法執行機関から受ける注目に対するリスク主導のアプローチを反映している。法執行機関の活動は、アフィリエイトが他のブランドに乗り換えることで、犯罪サービスの人気を低下させる可能性がある。これは、米国のコロニアル・パイプラインへの攻撃で使用され、米国東海岸に広範な混乱をもたらしたとFBIが発表したDarkSideランサムウェアで見られた。ダークサイド・ランサムウェアは、法執行機関が攻撃を行った関連会社の暗号通貨を押収した後、ブランドとして崩壊した。 |
| In recognition of the increased skillset of the affiliate (and the fact they do a larger portion of the work), the RaaS group typically takes a smaller percentage of the ransom. Until recently this was approximately 45%, but with the increased competition from more RaaS groups, that figure has decreased. | アフィリエイトのスキルの高さ(および作業の大部分を彼らが行っている事実)を認識し、RaaSグループは通常、身代金の少ない割合を取る。最近までこの割合は約45%だったが、より多くのRaaSグループとの競争が激化したため、この数字は減少している。 |
| Post exploitation tools | ポスト搾取ツール |
| Post exploitation tools are primarily used by affiliates. They are often tools that are built for system administrators or legitimate adversary simulation teams to enable improvement of system security. They are a challenge for security professionals as they are legitimate tools and are widely available, so they can’t simply be banned/disrupted wholesale in the same way that malware can. | ポスト搾取ツールは、主にアフィリエイトによって使用される。多くの場合、システム管理者や正当な敵対者のシミュレーションチームのために構築され、システムセキュリティの改善を可能にするツールである。正規のツールであり、広く利用可能であるため、マルウェアのように単純に全面的に禁止/破壊することができないため、セキュリティ専門家にとっては難題である。 |
| The most popular of these tools is Cobalt Strike. Other tools include Meterpreter, Sliver and Brute Ratel. To evade detection, criminals are also using existing administration tools and free trials of legitimate remote management software, such as Atera and Splashtop. Many criminals are not experts in conducting attacks, and groups will also sell accesses to those actors who don’t have the skills to use the tools effectively. | これらのツールの中で最も人気があるのはCobalt Strikeだ。その他のツールには、Meterpreter、Sliver、Brute Ratelなどがある。検知を逃れるために、犯罪者は既存の管理ツールや、AteraやSplashtopといった正規のリモート管理ソフトウェアの無料トライアル版も使用している。犯罪者の多くは攻撃行為の専門家ではないため、グループはツールを効果的に使用するスキルを持たない行為者にアクセス権を販売することもある。 |
| Financial services | 金融サービス |
 |
|
| FIGURE 10. FINANCIAL SERVICES | 図 10. 金融サービス |
| Finally, if the victim makes a payment following an attack, the criminals need to convert the cryptocurrency to hard currency to spend. There are many services that can ‘tumble’ cryptocurrency through several exchanges, splitting the payment into smaller transactions to make funds more difficult to trace. Although some exchanges are legitimate, there are also several cryptocurrency exchanges that are complicit in assisting ransomware criminals to exchange cryptocurrency into other forms of currency. Examples of this includes SUEX, which has been sanctioned by the US Department of Treasury. | 最後に、攻撃後に被害者が支払いを行う場合、犯罪者は暗号通貨をハードカレンシーに変換して使用する必要がある。暗号通貨を複数の取引所で「タンブリング」し、支払いを小口取引に分割して資金の追跡を困難にするサービスは数多く存在する。合法的な取引所もあるが、ランサムウェア犯罪者が暗号通貨を他の通貨に交換するのを手助けすることに加担している暗号通貨取引所もいくつかある。この例には、米国財務省によって制裁されているSUEXが含まれる。 |
| Cryptocurrency is a staple of ransomware and the criminals rely upon the anonymity it provides. A lack of funds can quickly dismantle criminal enterprises as was seen with the group behind Conti. Analysis of the leaked chat data showed that the actor in charge of the group appeared to leave in late January to early February 2022 (a month prior to the leaks) and took with them the majority of the money to pay wages. As a result, communications were sent to the wider group enforcing a temporary disbanding due to lack of funds. | 暗号通貨はランサムウェアの定番であり、犯罪者はそれが提供する匿名性に依存している。Contiの背後にいるグループに見られたように、資金不足は犯罪エンタープライズをすぐに崩壊させる可能性がある。流出したチャットデータの分析によると、グループの責任者は2022年1月下旬から2月上旬(流出の1カ月前)に退社し、賃金を支払うための資金の大部分を持っていったようだ。その結果、資金不足による一時的な解散を強制するコミュニケーションが、より広いグループに送られた。 |
| The NCA demonstrated that a cryptowallet associated with the actor in charge of the criminal group behind Conti contained approximately 95m US Dollars at the time the actor left Conti, however the remaining actors could no longer pay wages to the actors conducting the work. Arrest videos released by Russian authorities of cyber criminal actors typically show small, untidy apartments and a rather unglamorous lifestyle. This shows that while those at the top can accumulate large amounts of wealth and live extravagant lifestyles, the majority of criminals don’t make the profits that likely tempted them to the business in the first place. | NCAは、Contiの背後にいる犯罪グループの責任者である行為者がContiを去った時点で、その行為者に関連するクリプトウォレットに約9,500万米ドルが入っていたことを証明したが、残された行為者はもはや作業を行う行為者に賃金を支払うことができなかった。ロシア当局が公開したサイバー犯罪者の逮捕ビデオには、通常、狭くて整理整頓されていないアパートや、どちらかといえば華美でないライフスタイルが映し出されている。このことは、トップに立つ者は巨額の富を蓄え、贅沢なライフスタイルを送ることができるが、大多数の犯罪者は、そもそもこのビジネスに誘惑されたと思われるような利益を上げていないことを示している。 |
| Conclusion | 結論 |
| This white paper has illustrated how ransomware and extortion attacks reflect a diverse and varied business model, that's reliant on a complex supply chain. Focussing on specific ransomware strains can be confusing at best, and unhelpful at worst. Most ransomware incidents are not due to sophisticated attack techniques; the initial accesses to victims are gained opportunistically, with success usually the result of poor cyber hygiene. Implementing the NCSC guidance listed below would interrupt the majority of attacks. | このホワイトペーパーでは、ランサムウェアや恐喝攻撃が、複雑なサプライチェーンに依存した多様で多様なビジネスモデルを反映していることを説明した。特定のランサムウェアの系統に焦点を当てることは、良く言えば混乱を招き、悪く言えば役に立たない。ほとんどのランサムウェアインシデントは、洗練された攻撃テクニックによるものではなく、被害者への最初のアクセスは場当たり的に獲得され、成功は通常、サイバー衛生の不備の結果である。以下に挙げるNCSCのガイダンスを実施すれば、大半の攻撃を阻止できるだろう。 |
| The shifts in the ecosystem around ransomware and extortion demonstrate how cyber criminals will adopt whichever technology (or business model) allows them to best exploit their victims. This means the threat will continue to adapt and evolve as threat actors seek to maximise profits. | ランサムウェアと恐喝をめぐるエコシステムの変化は、サイバー犯罪者が被害者から最も搾取できる技術(またはビジネスモデル)を採用することを示している。つまり、脅威行為者が利益を最大化しようとする中で、脅威は適応し進化し続けるということだ。 |
| While on the surface, an attack can be attributed to a piece of ransomware (such as Lockbit), the reality is more nuanced, with a number of cyber criminal actors involved throughout the process. Tackling individual ransomware variants – something which the NCSC and NCA are frequently challenged on – is akin to treating the symptoms of an illness, and is of limited use unless the underlying disease is addressed. Taking a more holistic view by understanding the elements of the wider ecosystem allows us to better target the threat actors further upstream, in addition to playing ‘whack-a-mole’ with the ransomware groups. | 表面的には、攻撃はランサムウェアの一部(Lockbitなど)に起因しているが、現実はより微妙であり、プロセス全体を通して多くのサイバー犯罪者が関与している。個々のランサムウェアの亜種に対処することは、NCSCとNCAが頻繁に問われていることであるが、病気の症状を治療するようなものであり、根本的な病気に対処しない限り、その効果は限定的である。より広範なエコシステムの要素を理解することで、より全体的な視点を持つことができ、ランサムウェアグループとの「モグラたたき」に加えて、さらに上流の脅威行為者をより的確にターゲットにすることができる。 |
| Prevent and protect against ransomware | ランサムウェアを防ぎ、保護する |
| The following NCSC publications have been created to help organisations to defend themselves from ransomware, and to recover from the impact if they do suffer an attack. | 以下のNCSCの出版物は、組織がランサムウェアから身を守り、攻撃を受けた場合にその影響から回復するのに役立つように作成されている。 |
| NCSC guide to ransomware | ランサムウェアに関するNCSCガイド |
| An area of the NCSC’s website dedicated to ransomware | ランサムウェアに特化したNCSCのウェブサイトのエリア |
| Mitigating malware and ransomware attacks | マルウェアおよびランサムウェア攻撃の低減 |
| How to defend organisations against malware or ransomware attacks | マルウェアやランサムウェアの攻撃から組織を守る方法 |
| Protecting bulk personal data | 大量の個人データの防御 |
| 15 good practice measures for the protection of bulk data held by digital services | デジタルサービスが保有するバルクデータの保護に関する15のグッドプラクティス対策 |
| Incident management | インシデント管理 |
| How to effectively detect, respond to and resolve cyber incidents | サイバーインシデントを効果的に検知、対応、解決する方法 |
| Multi-factor authentication for online services | オンラインサービスの多要素認証 |
| Advice for organisations on implementing multi-factor authentication (or 2-step verification) | 多要素認証(または2段階認証)を導入する際の組織向けアドバイス |
Comments